Contents
記事の概要
企業の情報資産を守るためには、全社的にセキュリティ対策を「マネジメント(管理・運用)」することが重要です。
その際、もし国や団体が提供する情報セキュリティに関する制度や対策があれば、それを積極的に活用することが有効です。
企業が情報セキュリティを保護し、効果的にセキュリティ対策を管理・運用するために用意されている制度や施策は大きく分けて以下6つがありますが、この記事では「3.システム監査制度」「4.情報セキュリティ監査制度」について解説します。
この記事はこんな人にオススメ
● 情報セキュリティ担当者などの組織内で情報セキュリティ対策を担当する人
● 組織全体のセキュリティを統括する経営者や管理職など、内部統制や監査制度について理解し、組織のセキュリティ方針を策定する人
● 法務やコンプライアンスの担当者などの組織が法的要求事項や規制に適合するようにするために、システム監査制度や情報セキュリティ監査制度について学ぶべき人
その他4つの項目については以下の記事で説明しているので見てみてください!
システム監査制度
システム監査制度の概要
簡単に言うと
システム監査制度は、企業の情報システムが正しく動作しているか、リスク管理やセキュリティ対策がしっかりしているかをチェックする仕組みです。
目的は、システムが安全で、業務の目標達成に役立つかを確認し、問題があれば改善を促すことです。
厳密にいうと
システム監査制度とは、組織の情報システムが適切に設計、導入、運用されているか、また、そのシステムが経営目標を達成するために十分な有効性、信頼性、セキュリティを確保しているかを評価、検証するプロセスです。
システム監査の目的は、情報システムに関連するリスクの識別と管理を支援し、内部統制やコンプライアンスが順守されているかどうかを確認することです。
システム監査制度自体は、特定の一者が作成したものではなく、技術の進化や企業の情報システムの利用が広まるにつれて、さまざまな組織や政府、専門機関が協力しながら発展してきた概念です。
身近なものに例えると
システム監査制度を身近なもので例えると、車の定期点検に似ています。
車の定期点検では、エンジンやブレーキ、タイヤなどが正常に機能しているか、必要なメンテナンスが行われているか、安全に走行できる状態かを確認します。これと同じように、システム監査では、会社の情報システムがきちんと機能しているか、リスクやセキュリティが十分に管理されているかを定期的にチェックします。
どちらも、事前に問題を見つけて対処することで、大きなトラブルや事故を防ぐ役割を果たしています。
システム監査機関
システム監査を提供する主な監査機関には、外部監査を専門とする企業や、独立した第三者機関があります。
大手監査法人
- デロイト トウシュ トーマツ(Deloitte)
- プライスウォーターハウスクーパース(PwC)
- KPMG
- アーンスト・アンド・ヤング(EY)
これらの企業は「Big Four」と呼ばれ、グローバルに展開する大手監査法人で、
システム監査を含む幅広い監査サービスを提供しています。主に大企業や国際的な企業に向けたサービスが中心です。
独立系のIT監査企業
- ラック(LAC)
- NRIセキュアテクノロジーズ
- 日立システムズ
- SCSK
これらの企業は、特にITや情報システムの分野に特化した監査を提供しており、中小企業や特定の業界向けのサービスもあります。
企業の情報システムに関する監査やセキュリティ対策の検証が主なサービスです。
ISACAやIIAの認定監査人
- ISACA(Information Systems Audit and Control Association)は、
世界的なITガバナンスや監査に関する資格を提供する組織で、
CISA(Certified Information Systems Auditor)という認定資格を持つ監査人がシステム監査を行う場合もあります。 - IIA(The Institute of Internal Auditors)は、内部監査の専門組織で、システム監査も含む内部統制の監査が可能です。
料金の相場
一般的な料金の目安は次の通りです。
大企業向けの大手監査法人のシステム監査
数百万円~数千万円:大規模なシステムや国際的な監査になると、料金が高額になります。
中小企業向けの独立系監査企業
100万円~500万円:中小企業や特定のシステムに対する監査は、比較的低コストで行うことができます。
特定のシステムやセキュリティ監査
数十万円~200万円:限定的な範囲や特定のセキュリティチェックに対する監査は、範囲が狭いため比較的低コストで済むことがあります。
システム監査とは
簡単に言うと
システム監査とは、企業の情報システムが正しく動作し、安全で、リスク管理ができているかをチェックすることです。
目的は、システムが業務にちゃんと役立っているか、問題がないかを確認し、改善点を見つけることです。
経済産業省によるとシステム監査とは以下のように定義されています。
システム監査とは、専門性と客観性を備えたシステム監査人が、一定の基準に
system_kansa_h30.pdf (meti.go.jp)
基づいて情報システムを総合的に点検・評価・検証をして、監査報告の利用者に
情報システム 1
のガバナンス、マネジメント、コントロールの適切性等に対する
保証を与える、又は改善のための助言を行う監査の一類型である。
また、システム監査は、情報システムにまつわるリスク(以下「情報システム
リスク」という。)に適切に対処しているかどうかを、独立かつ専門的な立場の
システム監査人が点検・評価・検証することを通じて、組織体の経営活動と業務
活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標
達成に寄与すること、又は利害関係者に対する説明責任を果たすことを目的と
する
システム監査基準とシステム管理基準
システム監査は、システム監査基準とシステム管理基準に従って行われます。
システム管理基準は、情報システムの運用・管理に関する具体的な指針を提供し、
システム監査基準はその運用状況が適切であるかどうかを監査するための評価基準を提供します。
この2つの基準に沿って、企業のシステムが安全で効果的に運用されているかを確認します。
| 項目 | 説明 |
|---|---|
| システム管理基準 | システム管理の実践規範です。 システム管理基準は、企業が情報システムを案円で効率的に運用、管理するためのルールやガイドラインです。 これに基づいて、システムの運用方法やセキュリティ対策、トラブル対応が適切に行われるように指針を示しています。 |
| システム監査基準 | システム監査人の行為規範です。 システム監査基準は、情報システムが正しく運用されているかどうかをチェックするためのルールやガイドラインです。 これに基づいて、システムが安全で、リスク管理者内部統制が適切に行われているかを評価します。 監査人がシステムの問題点を見つけても改善を促すための基準です。 |
システム監査のプロセス
システム監査のプロセスは、計画→調査→評価→報告→フォローアップという流れで行われます。
各段階でシステムの運用状況を確認し、リスクや問題点を特定して改善提案を行うことが目的です。
- 1.監査計画の策定
- ・監査範囲の決定(対象となるシステムや業務プロセス)
・監査の目的や目標の設定
・監査スケジュールの策定
・必要なリソースの割り当て(監査チームの選定)
- 2.予備調査
- ・システムの運用状況のヒアリング
・文書の確認(ポリシーや手順書など)
・システムの構成やリスクの確認
・監査で重点的に確認する項目の選定
- 3.詳細調査(フィールドワーク)
- ・システムのデータやログの確認
・関連資料や記録の分析
・関係者へのインタビュー
・セキュリティ対策やリスク管理の実施状況の確認
- 4.評価と分析
- ・収集したデータや資料を評価
・リスクや問題点の特定
・改善が必要な箇所の抽出
・システム運用の適正性の判断
- 5.監査報告書の作成
- ・監査の結果やリスクの評価を文書化
・改善提案や推奨される対策を提示
・経営層や関係者への報告
- 6. フォローアップ
- ・改善策の実施状況の追跡
・必要に応じて追加監査を実施
・改善結果の報告
身近なものに例えると
システム監査のプロセスは、健康診断に似ています。
健康診断では、体の状態をチェックして問題がないかを確認し、必要があれば改善方法を提案します。システム監査もこれと同様に、情報システムの「健康状態」を調べ、問題があれば改善策を示します。
以下のように、それぞれの段階が健康診断とよく似ています。
0. フォローアップ = 再診や改善指導
健康診断後、異常があれば再検査や治療が行われるように、システム監査でも問題があればフォローアップし、改善状況を確認します。
このように、システム監査のプロセスは、システムの「健康診断」とも言えるもので、事前の調査から問題点の指摘、改善までを一貫して行う流れが健康診断と非常に似ています。
1.監査計画の策定 = 健康診断の予約・準備
健康診断の目的や検査項目を決めるのと同じように、システム監査でもどのシステムやプロセスを重点的にチェックするかを計画します。
2.予備調査 = 問診
健康診断で行う問診(生活習慣や既往歴の確認)と同じように、監査でもシステムの概要や運用状況、リスクについて事前に調査します。
3.詳細調査 = 健康診断の検査
健康診断で血液検査や心電図などの詳しい検査をするように、システム監査では実際のシステムのデータや運用の詳細をチェックします。
4.評価と分析 = 検査結果の評価
健康診断の結果を医師が評価して、異常がないか確認するように、システム監査でもシステムの運用が適切かどうかを評価し、問題点を見つけます。
5.監査報告書の作成 = 健康診断結果の報告とアドバイス
健康診断の結果がレポートで示され、必要なら生活習慣の改善を提案されるように、システム監査では監査報告書が作成され、改善策が提案されます。
情報セキュリティ監査制度
情報セキュリティ監査制度の概要
簡単に言うと
情報セキュリティ監査制度は、外部の専門家が企業や組織のセキュリティ対策をチェックし、問題がないかを確認する仕組みです。
これにより、リスクを減らし、法律や規則にちゃんと従っているかを保証します。
厳密にいうと
情報セキュリティ監査制度とは、企業や組織が自らの情報セキュリティ対策が適切であるかどうかを第三者機関が監査し、
評価する制度です。
これにより、情報セキュリティのリスクを減らし、法律や規則に準拠しているかを確認することが目的です。
情報セキュリティ監査制度では、保証型監査と、助言型監査の両方が活用できます。
身近なものに例えると
情報セキュリティ監査制度を別の身近なものに例えると、「防犯設備のチェック」に似ています。
会社や組織は、情報という「家宝」を守っていて、その宝が安全かどうか、きちんと守られているかを確認するのが情報セキュリティ監査です。防犯設備のチェックのように、第三者の専門家(=防犯のプロ)が、ドアや窓のロック(アクセス制御)や監視カメラ(監視システム)が正しく動いているかを点検します。不備があれば修正し、泥棒に入られないように強化します。
このように、情報という「宝」を守るための「防犯チェック」が、情報セキュリティ監査制度です。
システム監査と情報セキュリティ監査制度の違い
情報セキュリティ監査制度とシステム監査制度の違いは、監査の対象や目的にあります。
簡単に言うと、以下のような違いがあります。
| 項目 | 情報セキュリティ監査制度 | システム監査制度 |
|---|---|---|
| 対象範囲 | 情報セキュリティに特化した監査のため、主にデータの保護や不正アクセス防止など、情報の安全性に焦点を当てています。 セキュリティ対策やセキュリティポリシが適切かを評価しています。 | システム全体を対象にした監査で、システムの開発、運用、管理が効果的かつ効率的かを評価します。 セキュリティだけでなく、システムの信頼性、コスト管理、運用効率なども含まれます。 |
| 目的 | 企業や組織が情報を適切に保護しているか確認し、外部からの攻撃や内部不正などのリスクを軽減することが目的です。 | システムが全体として適切に機能しているか、組織の目標達成に貢献しているか、コストやパフォーマンス面で無駄がないか、適正な運用が行われているかを確認することが目的です。 |
| 監査項目 | z用法の保護レベル、セキュリティポリシの実行状況、アクセス制御、暗号化、脆弱性管理など、情報の安全性に関する項目が中心です。 | システム全体の管理方法、開発プロセス、運用体制、データの信頼性やパフォーマンス、費用対効果など、広範なシステム運用全般が対象です。 |
要するに、情報セキュリティ監査は「セキュリティ」に焦点を当てた診断で、
システム監査はシステム全体の運用や管理に焦点を当てた診断と考えると分かりやすいです。
保証型監査とは
簡単に言うと
保証型監査は、企業の情報セキュリティ対策が基準に合っていることを確認し、
外部に「この企業はセキュリティ対策がしっかりしている」と証明するための監査です。
厳密にいうと
保証型監査とは、監査人が企業や組織の情報セキュリティ対策が一定の基準や規則に適合していることを
「保証する」監査のことです。
この監査は、企業が適切なセキュリティ対策を実施していることを第三者に証明するためのものです。
保証型監査の特徴
保証型監査には以下のような特徴があります。
保証型監査の利用ケース
例えば、ある企業がISO 27001の認証を取得するために保証型監査を受け、その結果基準を満たしていれば、
ISO 27001認証が発行され、その企業が情報セキュリティの国際基準を遵守していることを保証することになります。
助言型監査とは
簡単に言うと
助言型監査は、企業の情報セキュリティ対策について、どこを改善すればいいのか具体的なアドバイスをするための監査です。
厳密にいうと
助言型監査は、企業や組織の情報セキュリティ対策について、監査人が評価を行い、
改善点や具体的なアドバイスを提供する監査です。
この監査は、問題点を指摘して改善するための手助けをすることが目的です。
助言型監査の特徴
保証型監査には以下のような特徴があります。
助言型監査の利用ケース
企業が新しいセキュリティ対策を導入する前に助言型監査を依頼し、現状のシステムがどこに脆弱性があるかを見てもらい、
それをどう強化すればよいかについてアドバイスを受ける、といった場面で活用されます。